ICMP consiste em uma grande coleção de comandos. Não é permitido todos que irão quebrar sua rede de maneiras estranhas.
O ICMP permite que coisas como "traceroute" e "ping" (solicitação de eco ICMP) funcionem. Assim, essa parte é bastante útil para diagnósticos normais. Ele também é usado para feedback quando você executa um servidor DNS (porta inacessível) que, em um servidor DNS moderno, pode realmente ajudar a selecionar uma máquina diferente para consulta mais rápida.
O ICMP é usado para a descoberta do caminho MTU. As chances são de seus conjuntos de SO "DF" (não fragmentar) nos pacotes TCP que ele envia. Ele espera obter um pacote ICMP "fragmentation required" de volta se algo ao longo do caminho falhar em lidar com esse tamanho de pacote. Se você bloquear o all ICMP, sua máquina terá que usar outros mecanismos de fallback, que basicamente usam um tempo limite para detectar um "buraco negro" de PMTU e nunca otimizarão corretamente.
Provavelmente, existem mais alguns bons motivos para ativar a maioria do ICMP.
Agora, sua pergunta: por que desativar:
Razões para desativar parte do ICMP são:
- Proteção contra worms antigos que usavam o pedido de eco ICMP (também conhecido como ping) para ver se um host estava vivo antes de tentar atacá-lo. Hoje em dia, um worm moderno tenta de qualquer maneira, fazendo com que isso não seja mais eficaz.
- Escondendo sua infraestrutura. Se você quiser fazer isso, por favor, bloqueie-o na borda da sua rede. Não em todos os computadores. Isso fará com que seu administrador puxe todo o cabelo de sua cabeça em frustração quando algo der errado e todas as ferramentas de análise falharem. (Nesse caso: a Amazon poderia bloqueá-lo na borda da nuvem).
- Ataques de negação de serviço com base no ICMP. Trate-os da mesma forma que outros ataques do DOS: limite de taxa.
- O único válido: se você estiver em uma rede insegura, talvez queira bloquear ou desativar o comando de alteração do roteador. Obfix: use seus servidores em uma rede segura.
Observe que há manuais de "proteção do servidor" que recomendam bloquear o ICMP. Eles estão errados (ou pelo menos não detalhados o suficiente). Eles se enquadram na mesma categoria da 'segurança' sem fio via filtragem de MAC ou ocultando o SSID.